derwowusste
Goto Top

Hat jemand hier Erfahrung mit Secure-Boot Powershell-cmdlets?

Moin Kollegen.

Die Situation in Kürze: eine Verschlüsselungs-Software möchte den Windows-Bootloader gegen ihren eigenen tauschen. Dies misslingt auf dem vorgesehenen Wege.
Der Herstellersupport sagt, es scheint ein Problem mit der UEFI/Secureboot-Implementation von Lenovo vorzuliegen - kurzum, er weiß keine Lösung.

Ich frage mich/Euch nun, ob man mit den Powershell-cmdlets Format-SecureBootUEFI und Set-SecureBootUEFI etwas erreichen könnte.
Hat jemand von Euch mit diesen schon gearbeitet und könnte einen Platformkey einpflegen, der als Download vorliegt?
[Nein, im Bios des Gerätes gibt es keine Option, dies zu tun]

Content-Key: 523637

Url: https://administrator.de/contentid/523637

Printed on: July 22, 2024 at 23:07 o'clock

Member: holli.zimmi
holli.zimmi Dec 09, 2019 at 15:28:03 (UTC)
Goto Top
Hi,

mir fällt nur UEFI - CSM ein.
Option:
1. mit
2. ohne

Je nach Hersteller im Bios anders einstellbar.

Gruß

Holli
Member: DerWoWusste
DerWoWusste Dec 09, 2019 at 15:37:54 (UTC)
Goto Top
Äh... was hat das nun mit der Frage zu tun?
Es geht darum, wie man von Windows aus signierte Bootloader erlauben könnte.
Member: beidermachtvongreyscull
beidermachtvongreyscull Dec 09, 2019 at 16:05:19 (UTC)
Goto Top
Das hier wird Deiner Frage nicht wirklich gerecht werden, aber ich finde folgende Passage interessant:

When you sign bootloader with your own key you need to add the hash of the image, certificate hash or CA certificate to the UEFI database. In order to add this key to the allowed signature database (db) you need to own the KEK key (owned by the Operating System vendor). Updating the KEK database is also not possible because it is protected by the PK (platform key – owned by the Platform Vendor). So the only solution would be to clear the platform key (PK) and import your own. Then generate and add to UEFI your own KEK and certificate used to sign the custom bootloader.

Das heißt für mich, dass Du nicht umhin kommen wirst, sowohl PK als auch KEK aus solch einem Client zu ersetzen und die diese selbst zu erzeugen.
Nur dann erscheint es mir nach diesem Text möglich, überhaupt eigene "selbstzertifizierte" Bootloader einsetzen zu können.
Member: DerWoWusste
DerWoWusste Dec 09, 2019, updated at Dec 10, 2019 at 07:34:15 (UTC)
Goto Top
Ich habe nun vom Hersteller erfahren, dass es doch schon eine gefixte Version gibt. Wenn die läuft, ist die Auflösung nur noch Weiterbildung, aber zunächst nicht mehr nötig. Werde morgen weitersehen.

Danke soweit, bdmvgs
Member: DerWoWusste
DerWoWusste Dec 11, 2019 at 12:54:39 (UTC)
Goto Top
Der Fix hat gewirkt, somit verliert die Lösung an Bedeutung. Wer's dennoch weiß, gerne melden.
Member: beidermachtvongreyscull
beidermachtvongreyscull Dec 11, 2019 at 14:58:54 (UTC)
Goto Top
Danke für die Info!